Pfwww.dll
Chelmi94
Messages postés
9
Statut
Membre
-
jess15 -
jess15 -
Bonjour,
Voilà depuis quelques jours j'avais un probleme de page de demarage, que j'ai pu regler grace a ce forum en changeant des clefs dans regedit, mais le probleme n'est pas tout a fait réglé :
Deja, pour chaque page d'erreur 404, j'arrive sur cette adresse :
J'ai beau effacer le fichier pfwww.dll, rien a faire, il reviens tout le temps !!!
Savez-vous ce que c'est ?
merci de votre aide...
Voilà depuis quelques jours j'avais un probleme de page de demarage, que j'ai pu regler grace a ce forum en changeant des clefs dans regedit, mais le probleme n'est pas tout a fait réglé :
Deja, pour chaque page d'erreur 404, j'arrive sur cette adresse :
res://pfwww.dll/http_404.htmet automatiquement mon Kaspersky s'affole et m'indique ceci dans son rapport:
C:\WINDOWS\system32\pfwww.dll/data0005.html Infecté TrojanDownloader.Win32.WinShow.u
J'ai beau effacer le fichier pfwww.dll, rien a faire, il reviens tout le temps !!!
Savez-vous ce que c'est ?
merci de votre aide...
3 réponses
salut
essai de voir ceci
Copier ce contenu dans le bloc notes. Appelez-le fix.reg .Sauvegardez-le type " tout fichier ". Puis double-cliquez dessus pour enlever certaines entrées possibles du registre.
Texte à taper :
Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
Pour désinstaller le " réinstalleur " secret, faites ceci :
Démarrer->exécuter-> taper regedit
Naviguez à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Surlignez Windows dans le panneau de gauche.
Cherchez dans le panneau droit : AppInit_Dlls . Cliquez droit et choisissez " modifier données binaires ".
Voici ce que l'on peut voir s'il y a une dll cachée à réinstaller :
----------------------------
This is now one looks when there is only one file loading.
0000 00 00 3A 00 5C 00 77 00 ..:.\.w.
0008 69 00 6E 00 64 00 6F 00 i.n.d.o.
0010 77 00 73 00 5C 00 73 00 w.s.\.s.
0018 79 00 73 00 74 00 65 00 y.s.t.e.
0020 6D 00 33 00 32 00 5C 00 m.3.2.\.
0028 6D 00 73 00 6B 00 6B 00 m.s.k.k.
0030 67 00 2E 00 64 00 6C 00 g...d.l.
0038 6C 00 00 00 l...
Ceci est un exemple. Notez le nom qui apparaît.
---------------------------
Démarrez " TheKillBox ". Dans Paste Full Path of File to Delete" copiez : c:\windows\system32\lenomtrouvé.dll
Dans le menu, choisissez "Delete on Reboot ".
Dans la fenêtre qui apparaît, cliquez le menu " File ", puis "Add File". c:\windows\system32\lenomtrouvé.dll
doit apparaître dans cette fenêtre. Puis dans le menu " Action " choisisssez : "Process and Reboot".
Redémarrer l'ordinateur.
Rechercher dans le registre la dll qui doit être visible maintenant supprimer l'entrée. Puis supprimer le fichier.
essai de voir ceci
Copier ce contenu dans le bloc notes. Appelez-le fix.reg .Sauvegardez-le type " tout fichier ". Puis double-cliquez dessus pour enlever certaines entrées possibles du registre.
Texte à taper :
Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
Pour désinstaller le " réinstalleur " secret, faites ceci :
Démarrer->exécuter-> taper regedit
Naviguez à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Surlignez Windows dans le panneau de gauche.
Cherchez dans le panneau droit : AppInit_Dlls . Cliquez droit et choisissez " modifier données binaires ".
Voici ce que l'on peut voir s'il y a une dll cachée à réinstaller :
----------------------------
This is now one looks when there is only one file loading.
0000 00 00 3A 00 5C 00 77 00 ..:.\.w.
0008 69 00 6E 00 64 00 6F 00 i.n.d.o.
0010 77 00 73 00 5C 00 73 00 w.s.\.s.
0018 79 00 73 00 74 00 65 00 y.s.t.e.
0020 6D 00 33 00 32 00 5C 00 m.3.2.\.
0028 6D 00 73 00 6B 00 6B 00 m.s.k.k.
0030 67 00 2E 00 64 00 6C 00 g...d.l.
0038 6C 00 00 00 l...
Ceci est un exemple. Notez le nom qui apparaît.
---------------------------
Démarrez " TheKillBox ". Dans Paste Full Path of File to Delete" copiez : c:\windows\system32\lenomtrouvé.dll
Dans le menu, choisissez "Delete on Reboot ".
Dans la fenêtre qui apparaît, cliquez le menu " File ", puis "Add File". c:\windows\system32\lenomtrouvé.dll
doit apparaître dans cette fenêtre. Puis dans le menu " Action " choisisssez : "Process and Reboot".
Redémarrer l'ordinateur.
Rechercher dans le registre la dll qui doit être visible maintenant supprimer l'entrée. Puis supprimer le fichier.
Salut,
Merci pour ta réponse... je fais comme tu me dis, mais arrivé là :
il n'y a pas de AppInit_Dlls !!!!
j'en suis donc resté a ce stade.....
help :)
Merci pour ta réponse... je fais comme tu me dis, mais arrivé là :
Cherchez dans le panneau droit : AppInit_Dlls . Cliquez droit et choisissez " modifier données binaires ".
il n'y a pas de AppInit_Dlls !!!!
j'en suis donc resté a ce stade.....
help :)
salut essay ca c une soluce que j'ai trouver sur un site
salut fait comme ceci
redemarre en mode sans echec (redemarage+tapotte sans cesse sur F8 ou F5)
va dans le registre
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Policies>
Explorer>Run
"a droite" suprime la valeur qui correspond au nom du fichier utliser par le trojan dans ton cas c : pfwww.dll.
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>RunServices
tu fait pareille tu suprime "a droit" la valeur qui contien pfwww.dll.
maintenant pour que le trojan ne revien plus il faut faire comme ceci
HKEY_CLASSES_ROOT>CLSID>
{0494D0DE-F8E0-41AD-92A3-14154ECE70AC}>InprocServer32
pareille suprime "a droite" la valeur qui contien pfwww.dll
HKEY_CLASSES_ROOT>CLSID>
{0B40A54D-BEC3-4077-9A33-701BD6ACDEB2}>InprocServer32
pareille suprime "a droite" la valeur qui contien pfwww.dll
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>CLSID>
{0494D0DE-F8E0-41AD-92A3-14154ECE70AC}>InprocServer3
pareille suprime "a droite" la valeur qui contien pfwww.dll
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>CLSID>
{0B40A54D-BEC3-4077-9A33-701BD6ACDEB2}>InprocServer32
pareille suprime "a droite" la valeur qui contien pfwww.dll
ensuite tu ferme le registre et tu lance Kaspersky pour un dernier netoyage
fait tres attention avec les clees une petite erreure peu destabiliser le systeme
@+++++++++++++++++
tien nous au courant
salut fait comme ceci
redemarre en mode sans echec (redemarage+tapotte sans cesse sur F8 ou F5)
va dans le registre
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Policies>
Explorer>Run
"a droite" suprime la valeur qui correspond au nom du fichier utliser par le trojan dans ton cas c : pfwww.dll.
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>RunServices
tu fait pareille tu suprime "a droit" la valeur qui contien pfwww.dll.
maintenant pour que le trojan ne revien plus il faut faire comme ceci
HKEY_CLASSES_ROOT>CLSID>
{0494D0DE-F8E0-41AD-92A3-14154ECE70AC}>InprocServer32
pareille suprime "a droite" la valeur qui contien pfwww.dll
HKEY_CLASSES_ROOT>CLSID>
{0B40A54D-BEC3-4077-9A33-701BD6ACDEB2}>InprocServer32
pareille suprime "a droite" la valeur qui contien pfwww.dll
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>CLSID>
{0494D0DE-F8E0-41AD-92A3-14154ECE70AC}>InprocServer3
pareille suprime "a droite" la valeur qui contien pfwww.dll
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>CLSID>
{0B40A54D-BEC3-4077-9A33-701BD6ACDEB2}>InprocServer32
pareille suprime "a droite" la valeur qui contien pfwww.dll
ensuite tu ferme le registre et tu lance Kaspersky pour un dernier netoyage
fait tres attention avec les clees une petite erreure peu destabiliser le systeme
@+++++++++++++++++
tien nous au courant
